摘 ?要：現(xiàn)階段，兩化融合戰(zhàn)略正在積極推進，這也促使工業(yè)控制系統(tǒng)在設計、研發(fā)和生產等方面實現(xiàn)了信息化和工業(yè)化的融合，與此同時，增加了工業(yè)控制系統(tǒng)被攻擊的可能性。基于此，該文探討了工業(yè)控制網絡的安全防護體系概述，分析了工業(yè)控制網絡安全防御系統(tǒng)中存在的風險問題，研究了工業(yè)控制網絡安全防御體系及關鍵技術，以供參考。

關鍵詞：工業(yè)控制 ?網絡安全 ?防御體系 ?關鍵技術

中圖分類號：TP393 ? ? ? ? ? ? ? ? ? ? ? ? ?文獻標識碼：A文章編號：1672-3791（2021）04（c）-0045-03

Discussion on Security Defense System and Key Technology of Industrial Control Network

HUO Lanyu

（Hunan Mechanical&Electrical Polytechnic， Changsha， Hunan Province， 410151 ?China）

Abstract： At present， the integration strategy of industrialization and informatization is being actively promoted， which also promotes the integration of informatization and industrialization in the design， R & D and production of industrial control system， at the same time it increases the possibility of industrial control system being attacked. Based on this， this paper discusses the overview of the security defense system of industrial control network， analyzes the risk problems existing in the security defense system of industrial control network， and studies the security defense system and key technologies of industrial control network， for reference.

Key Words： Industrial control; Network security; Defense system; Key technology

隨著科學技術的不斷完善，人們推出了新的信息技術以及防火墻技術，并促使該類技術在工業(yè)控制網絡安全防御體系中得到了全面應用，降低信息泄露、被盜取等風險。在這些防護技術的幫助下，不僅能夠實現(xiàn)防御技術的創(chuàng)新，還能保證風險問題能夠及時發(fā)現(xiàn)，迅速了解侵入系統(tǒng)的病毒類型和特點，開展針對性殺毒操作，保證安全防護體系的防護效果。

1 ?工業(yè)控制網絡的安全防護體系概述

近年來，針對于工業(yè)控制網絡的惡性攻擊事件經常出現(xiàn)，如烏克蘭電網攻擊事件等，這也充分說明了工業(yè)控制網絡正在遭受嚴重的安全威脅。相比之下，工業(yè)控制網絡的自身專業(yè)性特點較強，對于運行可靠性也存在極高要求，這也導致工業(yè)控制網絡安全防護技術與IT信息保護技術之間存在明顯差異。更為重要的是，現(xiàn)階段有80%以上的關鍵信息技術設施，可以利用工業(yè)控制網絡實現(xiàn)自動化操作。從這里也能夠看出，工業(yè)控制網絡已經成為國家信息發(fā)展系統(tǒng)中的重要部分，自身安全情況與國家戰(zhàn)略發(fā)展安全存在直接關系?，F(xiàn)階段，由于信息化和工業(yè)化的全面融合，以及物聯(lián)網的高速發(fā)展，使得很多工業(yè)控制網絡產品開始應用通用協(xié)議、通用硬軟件等，以保證能夠與互聯(lián)網等公共網絡建立更好的連接關系，然而這就增加了病毒、木馬等侵入概率，網絡安全問題就越來越突出。再加上工業(yè)控制系統(tǒng)廠家所應用的通信協(xié)議具備封閉特性，其安全性與“中國制造2025”計劃息息相關，所以針對工業(yè)控制網絡安全防護中的關鍵研究應提高重視程度[1]。

2 ?工業(yè)控制網絡安全防御系統(tǒng)中存在的風險問題

2.1 數(shù)據傳輸環(huán)節(jié)存在篡改風險

目前，工業(yè)控制網絡安全防御系統(tǒng)和其中所應用的保護技術并不先進，很難在短時間內發(fā)現(xiàn)系統(tǒng)和軟件中存在病毒，其內部安裝的隔離保護裝置無法實現(xiàn)整個控制防御系統(tǒng)的全面覆蓋，進而引發(fā)漏洞問題，導致數(shù)據傳輸環(huán)節(jié)中出現(xiàn)被篡改的風險，無法確保信息的絕對安全，在控制中心內部也經常出現(xiàn)黑客入侵問題，增加網絡癱瘓問題的出現(xiàn)幾率，影響系統(tǒng)的功能發(fā)揮和數(shù)據傳輸速度，無法將系統(tǒng)傳輸?shù)臅r效性特點展示出來。除此之外，實際防護技術的應用也不夠先進，進而引發(fā)更加嚴重的網絡安全問題，在此過程中，最為明顯的環(huán)節(jié)在于輸送環(huán)節(jié)，無法對終端設備進行保護，部分設備還容易被病毒感染，增加了數(shù)據被盜取的風險。倘若不能將該類問題解決，工業(yè)系統(tǒng)中的資源和信息將會面臨巨大威脅，保護防御功能也很難得到發(fā)揮。

2.2 信息采集環(huán)節(jié)容易出現(xiàn)泄露

總體來說，在工業(yè)控制網絡防御體系之中，信息采集工作經常會出現(xiàn)一些疏漏，從這里也可以看出，該系統(tǒng)的防護能力十分有限，保護技術不夠先進，導致傳輸和接收信息的過程容易出現(xiàn)問題，無法做到安全性和嚴密性維護，引發(fā)信息被盜用風險，整個體系很難被工作人員完全掌控，讓不法分子有機可乘。經過具體的分析和總結，整個工業(yè)防御體系之中并沒有設計訪問功能，對于點擊控制體系下的客戶端，也不能進行充分辨別，即使無法對訪問者身份進行辨別，也能夠將惡意文件打開，導致機密信息被泄漏，增加了安全風險問題的出現(xiàn)幾率，各個傳輸環(huán)節(jié)也不能得到有序控制，對工業(yè)領域的后續(xù)發(fā)展產生極大的影響。網絡系統(tǒng)的控制權限設計存在很大問題，所采用的安全技術實用性有限，無法對工業(yè)控制體系提供全面保護，最終影響了信息安全[2]。

2.3 處理環(huán)節(jié)過于復雜

在網絡安全技術應用過程中，很難呈現(xiàn)出自動化特點，讓整個處理環(huán)節(jié)變得越來越復雜，無法在短時間內完成太多工作，影響了工業(yè)制造效率，在保護控制體系建設上，相關企業(yè)和部門需要投入大量的人力、物力，只有這樣，才能對監(jiān)管系統(tǒng)內部情況進行充分了解，在增加人工負擔同時，很難發(fā)現(xiàn)病毒所在，以及具體的入侵位置，對于病毒的處理環(huán)節(jié)和過于復雜，很難把控最佳的網絡安全問題處理時機。也正是由于該種情況存在，讓病毒有了可乘之機，保證能夠在短時間內完成擴散，增加數(shù)據被盜用、篡改等風險。更為重要的是，整個環(huán)節(jié)很難做到簡化處理，而且操作流程越繁瑣，越容易出現(xiàn)不規(guī)范行為，導致整個信息傳輸過程受到影響，尤其是在重要文件傳輸上，遭受病毒和黑客攻擊的幾率也會增高，很難讓工業(yè)控制系統(tǒng)處于安全運行狀態(tài)。

2.4 不具備及時響應和反制的能力

盡管相關部門已經針對基礎設施安全事故制定一系列應急管理制度，但某些危害依舊需要用戶自己去判斷，最終錯過了工業(yè)控制網絡恢復的正常運行時間，損失也會大幅增加。在我國，需要建立起一個完善的工控網絡環(huán)境，這對于整個工業(yè)控制網絡安全保護建設來說具備積極意義。

3 ?工業(yè)控制網絡安全防御體系及關鍵技術

3.1 工業(yè)控制網絡協(xié)議安全性研究

我國工業(yè)控制網絡建設主要以較為復雜的專用封閉通信協(xié)議為主，如DNP3、OPC等，這些協(xié)議內容往往存在很多漏洞，黑客們可以通過利用這些漏洞來發(fā)送非法控制命令，再加上整個通信過程保密性有限，容易出現(xiàn)偽裝、篡改等現(xiàn)象，從這里也能夠看出，我國工業(yè)控制網絡和通信協(xié)議安全性需要盡快得到改善。從《工業(yè)控制網絡安全防護指南》中能夠了解到，在實際工業(yè)現(xiàn)場之中，需采用指令級別的工業(yè)防火墻，除了能夠對OPC協(xié)議指令級別進行分析之外，還可以對OPC服務器以及OPC客戶端之間的協(xié)商動態(tài)端口進行跟蹤，做到生產控制網端口的最小化，與此同時，做好客戶端和服務器之間的指令請求檢測操作，一旦發(fā)現(xiàn)與操作指令不符的要求，應立即進行攔截，保證OPC協(xié)議下的工業(yè)控制網絡安全性。對于指令級工業(yè)防火墻在OPC協(xié)議安全性維護上，涉及到的關鍵技術如下[3]。

首先，監(jiān)控OPC網絡和服務器。在通信過程中，相關工作人員需要做到對OPC服務器分配的動態(tài)跟蹤，盡可能少地打開防火墻端口，保證數(shù)據連通的同時，將未使用端口關閉。其次，對于OPC客戶端和OPC服務器之間傳輸指令請求，需開展實施檢測操作，同時保證OPC的寫入控制，這也是OPC單向只讀控制的本質所在。最后，做好通信內容加密操作，當所有內容被加密后，工業(yè)防火墻對受到的信息進行解密，之后完成內容的深度解密和調查，將風險徹底排除。

3.2 工業(yè)控制網絡的風險評估技術

現(xiàn)階段，工業(yè)控制網絡安全系統(tǒng)工程已經得到了很多專業(yè)人士的認可，其中，系統(tǒng)的風險評估工作同樣得到了足夠重視，但在該領域之中，我國依舊存在很多不足，如缺乏自主知識產權和標準評估體系等。目前，與工業(yè)控制網絡風險評估相關的內容只有《工業(yè)自動化和控制系統(tǒng)網絡安全》系列標準，但由于工控網絡系統(tǒng)本身具備較強的敏感性和時效性，在實際技術性評估上，需要開展全面的風險識別和處理預案操作。例如：在某安全廠商發(fā)展中，受邀對國內著名火電集團工控系統(tǒng)進行風險評估操作，在應用在線漏洞掃描方式時，引發(fā)數(shù)據采集服務器宕機問題，最終導致很多關鍵數(shù)據丟失[4]。

3.3 工控網絡安全事件關聯(lián)分析和態(tài)勢評測技術研究

為了保證工業(yè)控制網絡系統(tǒng)始終處于安全運行狀態(tài)，人們可以將工業(yè)防火墻、IDS以及漏洞掃描系統(tǒng)應用其中。不同網絡安全設備在使用中，均會出現(xiàn)不同的安全事故信息，如果這些設備功能不完善，而且不能相互協(xié)調在一起，便會引發(fā)重復報警問題。與此同時，由于工控網絡復雜性特點，所引發(fā)的網絡安全問題更是多種多樣。為了更好地對該類網絡安全問題進行處理，人們需要保證對網絡安全數(shù)據的全面處理，明確網絡安全事件的關聯(lián)性特點，將相似的網絡問題合并處理，保證網絡安全狀態(tài)評估的準確性。站在工控網絡安全態(tài)勢分析角度，相關工作人員要做的就是明確對網絡安全性存在影響的各種網絡要素。一般來說，影響網絡安全的要素很多，如時間要素、空間要素等。當所有要素被采集和獲取后，工作人員還要對信息進行分類，之后對安全信息進行綜合評估和分析，獲取整體網絡安全狀態(tài)信息，根據已有的網絡安全態(tài)勢，對未來安全態(tài)勢進行合理預測[5]。

3.4 安裝安全管理軟件

在新的發(fā)展形勢之下，各大工業(yè)企業(yè)在各項工作開展上，均需要做到與時俱進，緊跟時代發(fā)展步伐，保證對各種安全管理軟件進行妥善安裝，在實際操作設備上，可以利用好監(jiān)控模塊操作，及時了解工業(yè)系統(tǒng)的具體運轉情況，以及設施是否處于完整狀態(tài)。另外，還要看網絡終端是否存在外來插件問題，并開展全方位監(jiān)控和管理操作，了解風險和問題所在，盡早采取相關解決措施，保證安全防護技術的先進化和自動化特點，檢查好網址以及產品廣告等內容，一旦發(fā)現(xiàn)病毒，整個防御體系便會立即響應，避免發(fā)生信息和數(shù)據泄漏問題。因此，在工業(yè)控制系統(tǒng)運行上，可以借助安全管理軟件應用，及時了解設備是否存在異常問題，盡可能早地確定病毒類型，保證信息的嚴密性。

3.5 建立全生命周期網絡安全防御體系

（1）在系統(tǒng)設計和分析中，明確具體的安全目標和防護內容，保證安全防護體系設計和系統(tǒng)設計結合在一起。（2）在系統(tǒng)開發(fā)過程中，執(zhí)行全面的代碼安全評估操作，并對同階段問題進行安全測試，如產品選型情況、工業(yè)裝備等。（3）當建設完成并執(zhí)行驗收操作時，還要開展有序的風險評估，只有經過全面的網絡安全驗收測試，才能確保安全保證能力得到更好展示。（4）對于系統(tǒng)的運營和維護，可開展周期性風險評估操作，并通過系統(tǒng)攻防環(huán)境設計，保證工控系統(tǒng)漏洞的深入性挖掘，這也是安全技術優(yōu)化的必備措施[6]。

4 ?結語

綜上所述，實際工業(yè)控制網絡安全防御體系屬于是整個工業(yè)發(fā)展中的重要保護設施，同時也是核心內容。因此，在應用過程中，相關工作人員需提升對系統(tǒng)信息和數(shù)據的保護力度，避免出現(xiàn)信息篡改、破壞等問題。同時，還可以將防火墻和識別技術等應用其中，盡早發(fā)現(xiàn)病毒所在，強化系統(tǒng)的嚴密性特點。

參考文獻

[1] 韓正.智能制造領域工業(yè)控制系統(tǒng)網絡安全防護研究[J].網絡安全技術與應用，2020（11）：161-163.

[2] 孟瑜煒.構建以業(yè)務為核心工業(yè)控制系統(tǒng)網絡安全主動防御體系的方法[J].現(xiàn)代制造技術與裝備，2020（8）：149-150，155.

[3] 項露露.工業(yè)控制系統(tǒng)網絡安全形式化建模驗證方法研究[D].浙江工業(yè)大學，2020.

[4] 王寶來，陳安國，肖偉.工業(yè)控制系統(tǒng)網絡安全防御體系研究[J].網絡安全技術與應用，2020（1）：?119-120.

[5] 黃兆軍.智能工廠的工業(yè)控制系統(tǒng)網絡安全防御體系的構建[J].工業(yè)技術與職業(yè)教育，2019，17（2）：5-10，18.

[6] 李藝.工業(yè)控制網絡安全防御體系及關鍵技術研究[D].華北電力大學，2017.

①基金項目：湖南省教育廳科學研究項目《工業(yè)網絡智能安全監(jiān)測技術應用研究》（項目編號：18C1383）。

作者簡介：霍覽宇（1981—），男，本科，副教授，研究方向為控制理論與控制工程。